Esta semana, o cenário das gangues de ransomware viu a ascensão de um novo protagonista, o grupo criminoso conhecido como Rhysida, que reivindicou a autoria de um ataque à prestigiosa Biblioteca Britânica. Confirmou-se que dados pessoais foram roubados durante o ataque e, posteriormente, colocados à venda online.

Embora o nome Rhysida seja recente, suas táticas não são novas. Gangues de ransomware, há anos, tornam os sistemas de organizações inacessíveis por meio da infecção por malware, exigindo pagamentos em criptomoedas para desbloquear os arquivos. O diferencial agora é a chamada “dupla extorsão”, onde os criminosos ameaçam divulgar os dados roubados online, buscando aumentar sua vantagem nas negociações.

Rhysida, ao se autodenominar como agressor, adotou uma abordagem clássica de dupla extorsão. O grupo no dia 31 de outubro postou online imagens de baixa resolução contendo informações pessoais coletadas durante o ataque, anunciando a venda dos dados em seu site com um lance inicial de 20 bitcoins, aproximadamente £590.000, com o prazo para participar desse leilão sendo até o dia 27 de novembro, com a promessa de que os dados serão vendidos a um único comprador.

Rafe Pilling, diretor de pesquisa de ameaças da Secureworks, destacou que esse é um exemplo típico de um ataque de ransomware de dupla extorsão, onde a ameaça de vazamento ou venda de dados roubados é utilizada como alavanca para extorquir pagamentos.

Embora a Biblioteca Britânica seja uma vítima proeminente do Rhysida, o grupo também é responsável por ataques a instituições governamentais em Portugal, Chile e Kuwait. Em agosto, assumiram a responsabilidade por um ataque ao grupo hospitalar norte-americano Prospect Medical Holdings.

Autoridades dos EUA emitiram uma nota consultiva sobre o Rhysida na semana passada, destacando sua disseminação em setores como educação, manufatura, TI e governo desde maio. Além disso, observaram o envolvimento do grupo em operações de “ransomware como serviço” (Raas), onde o malware é alugado para outros criminosos, e os rendimentos do resgate são compartilhados.

O nome Rhysida pode ser novo publicamente, mas a Secureworks revela que o grupo surgiu em 2021, anteriormente conhecido como Gold Victor, operando o ransomware denominado Vice Society. A mudança de nome é uma prática comum entre gangues criminosas para evitar a atenção excessiva das autoridades.

A identidade precisa do grupo Rhysida permanece desconhecida, mas Pilling sugere que segue o padrão de agentes russos ou da Comunidade de Estados Independentes. Ele destaca que, embora não haja evidências concretas, é razoável presumir que possam falar russo.

As técnicas de acesso utilizadas pelo Rhysida incluem o uso de redes privadas virtuais (VPNs) das organizações e ataques de phishing. Após a infiltração, as gangues costumam permanecer ocultas no sistema por um curto período, com o tempo médio de permanência reduzindo para menos de 24 horas, conforme relatado pela Secureworks.

O pagamento de resgates no Reino Unido é desaprovado, mas não ilegal, a menos que haja suspeitas de que os lucros financiem atividades terroristas. Nos EUA, embora desencorajado pelo governo, não há uma proibição legal estrita. Os pagamentos de ransomware estão em ascensão, com a Sophos relatando um aumento significativo, quase dobrando para £1,2 milhão no ano passado.

Segurança em risco

No dinâmico mundo da tecnologia, o surgimento contínuo de novas formas de ransomware, exemplificado pelo caso do Rhysida na Biblioteca Britânica, desafia organizações e autoridades a aprimorarem suas defesas cibernéticas. Este incidente destaca a necessidade urgente de uma abordagem proativa na segurança digital, incentivando a implementação de medidas eficazes de prevenção, detecção e resposta a ameaças cibernéticas para que assim todos possam enfrentar com sucesso os desafios crescentes no ciberespaço.